Author: Joyce_BY, all rights reserved.
Contact by email: [email protected]
PHP 中的 $_GET 和 $_POST 变量用于检索表单中的信息
当处理 HTML 表单时,PHP能把来自 HTML 页面中的表单元素自动变成PHP脚本元素。
PHP 表单和用户输入
form.html
<!--当用户填写完上面的表单并点击提交按钮时,表单的数据会被送往名为 "welcome.php" 的 PHP 文件-->
<form action="welcome.php" method="post">
名字: <input type="text" name="fname">
年龄: <input type="text" name="age">
<input type="submit" value="提交">
</form>
welcome.php
欢迎<?php echo $_POST["fname"]; ?>!<br>
你的年龄是 <?php echo $_POST["age"]; ?> 岁。
PHP 获取下拉菜单的数据
- 下拉菜单单选
表单使用 GET 方式获取数据,action 属性值为空表示提交到当前脚本,通过 select 的 name 属性获取下拉菜单的值:
<?php
$q = isset($_GET['q'])? htmlspecialchars($_GET['q']) : '';
if($q) {
if($q =='RUNOOB') {
echo '菜鸟教程<br>http://www.runoob.com';
} else if($q =='GOOGLE') {
echo 'Google 搜索<br>http://www.google.com';
} else if($q =='TAOBAO') {
echo '淘宝<br>http://www.taobao.com';
}
} else {
?>
<form action="" method="get">
<select name="q">
<option value="">选择一个站点:</option>
<option value="RUNOOB">Runoob</option>
<option value="GOOGLE">Google</option>
<option value="TAOBAO">Taobao</option>
</select>
<input type="submit" value="提交">
</form>
<?php
}
?>
- 下拉菜单多选
设置 select name=“q[]” 以数组的方式获取,使用 POST 方式提交:
<?php
$q = isset($_POST['q'])? $_POST['q'] : ''; // check whether q is empty
if(is_array($q)) {
$sites = array(
'RUNOOB' => '菜鸟教程: http://www.runoob.com',
'GOOGLE' => 'Google 搜索: http://www.google.com',
'TAOBAO' => '淘宝: http://www.taobao.com',
);
foreach($q as $val) {
// PHP_EOL 为常量,用于换行
echo $sites[$val] . PHP_EOL;
}
} else {
?>
<form action="" method="post">
<select multiple="multiple" name="q[]">
<option value="">选择一个站点:</option>
<option value="RUNOOB">Runoob</option>
<option value="GOOGLE">Google</option>
<option value="TAOBAO">Taobao</option>
</select>
<input type="submit" value="提交">
</form>
<?php
}
?>
- radio - 单选按钮表单
PHP 单选按钮表单中 name 属性的值一致,value 值不同.
<?php
$q = isset($_GET['q'])? htmlspecialchars($_GET['q']) : '';
if($q) {
if($q =='RUNOOB') {
echo '菜鸟教程<br>http://www.runoob.com';
} else if($q =='GOOGLE') {
echo 'Google 搜索<br>http://www.google.com';
} else if($q =='TAOBAO') {
echo '淘宝<br>http://www.taobao.com';
}
} else {
?><form action="" method="get">
<input type="radio" name="q" value="RUNOOB" />Runoob
<input type="radio" name="q" value="GOOGLE" />Google
<input type="radio" name="q" value="TAOBAO" />Taobao
<input type="submit" value="提交">
</form>
<?php
}
?>
- checkbox - 复选框
可以选多个值
<?php
$q = isset($_POST['q'])? $_POST['q'] : '';
if(is_array($q)) {
$sites = array(
'RUNOOB' => '菜鸟教程: http://www.runoob.com',
'GOOGLE' => 'Google 搜索: http://www.google.com',
'TAOBAO' => '淘宝: http://www.taobao.com',
);
foreach($q as $val) {
// PHP_EOL 为常量,用于换行
echo $sites[$val] . PHP_EOL;
}
} else {
?><form action="" method="post">
<input type="checkbox" name="q[]" value="RUNOOB"> Runoob<br>
<input type="checkbox" name="q[]" value="GOOGLE"> Google<br>
<input type="checkbox" name="q[]" value="TAOBAO"> Taobao<br>
<input type="submit" value="提交">
</form>
<?php
}
?>
表单元素
HTML 表单提交数据代码如下
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
$_SERVER[“PHP_SELF”]是超级全局变量,返回当前正在执行脚本的文件名,与 document root相关;
htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。
& (和号) 成为 &
" (双引号) 成为 "
’ (单引号) 成为 '
< (小于) 成为 <
> (大于) 成为 >
XSS 攻击(跨站脚本攻击)
恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
如果我们直接这样写代码:
<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>">
<!--instantiation-->
<form method="post" action="test_form.php">
那么,如果我们在url栏里输入如下地址:
则将被解析为可执行的恶意代码
<form method="post" action="test_form.php/"><script>alert('hacked')</script>
此时,利用htmlspecialchars() 函数则可以避免此类问题,我们修改代码如下:
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
上述代码将会被解析为下述代码形式,避免了XSS漏洞。
<form method="post" action="test_form.php/"><script>alert('hacked')</script>">
使用 PHP 验证表单数据
通过$_SERVER[“REQUEST_METHOD”]来检测表单是否被提交 ;
当用户提交表单时:
- 使用 PHP trim() 函数去除用户输入数据中不必要的字符 (如:空格,tab,换行);
- 使用PHP stripslashes()函数去除用户输入数据中的反斜杠 ();
对用户所有提交的数据都通过htmlspecialchars() 函数处理。
总结为代码如下:
function test_input($data)
{
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return $data;
}
Form 必需字段
利用empty($_POST[“xxx”])函数和if-else语句进行判断
显示错误信息
can add following code:
<span class="error"><?php echo $Err;?></span>
验证名称
preg_match(string $pattern, string $subject)
在 subject 字符串中搜索与 pattern 给出的正则表达式相匹配的内容。如果提供了 matches ,则其会被搜索的结果所填充;
$matches[0] 将包含与整个模式匹配的文本,$matches[1] 将包含与第一个捕获的括号中的子模式所匹配的文本,以此类推。
int preg_match ( string $pattern , string $subject [, array $matches [, int $flags ]] )
验证邮件
检测 e-mail 地址是否合法
$email = test_input($_POST["email"]);
if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/",$email)) {
$emailErr = "非法邮箱格式";
}
验证 URL
检测URL地址是否合法
$website = test_input($_POST["website"]);
if (!preg_match("/\b(?:(?:https?|ftp):\/\/|www\.)[-a-z0-9+&@#\/%?=~_|!:,.;]*[-a-z0-9+&@#\/%=~_|]/i",$website)) {
$websiteErr = "非法的 URL 的地址";
}
$_GET 和 $_POST 变量
| $_GET | $_POST |
|---|---|
| 收集来自 method=“get” 的表单中的值 | 收集来自 method=“post” 的表单中的值 |
| 表单域的名称会自动成为 $_GET 数组中的键 | 表单域的名称会自动成为 $_POST 数组中的键 |
| 变量名和值显示在URL 中,对敏感信息不安全 | 变量名和值不可见 |
| 可加入收藏夹 | 不可加入收藏夹 |
| 值不能超过2000字符 | 发送信息的量无限制,但一般默认为8MB,可通过php.ini 文件中的 post_max_size 进行更改 |